Web App Security Checklist

Dưới đây là danh sách những điều cần kiểm tra khi xây dựng và bảo mật ứng dụng web

ASV

May 23, 2024 - 14:09

198

Session Management / Quản lý phiên

Establish how session management is handled in the application (eg, tokens in cookies, token in URL) / Xác định cách quản lý phiên được xử lý trong ứng dụng (ví dụ: token trong cookie, token trong URL)
Check session tokens for cookie flags (httpOnly and secure) / Kiểm tra cờ cookie cho token phiên (httpOnly và bảo mật)
Check session cookie scope (path and domain) / Kiểm tra phạm vi cookie phiên (đường dẫn và tên miền)
Check session cookie duration (expires and max-age) / Kiểm tra thời gian tồn tại của cookie phiên (hết hạn và tuổi tối đa)
Check session termination after a maximum lifetime / Kiểm tra việc kết thúc phiên sau thời gian tồn tại tối đa
Check session termination after relative timeout / Kiểm tra việc kết thúc phiên sau khi hết thời gian chờ
Check session termination after logout / Kiểm tra việc kết thúc phiên sau khi đăng xuất
Test to see if users can have multiple simultaneous sessions / Kiểm tra xem người dùng có thể có nhiều phiên đồng thời hay không
Test session cookies for randomness / Kiểm tra sự ngẫu nhiên của cookie phiên
Confirm that new session tokens are issued on login, role change and logout / Xác nhận rằng token phiên mới được cấp khi đăng nhập, thay đổi vai trò và đăng xuất
Test for consistent session management across applications with shared session management / Kiểm tra tính nhất quán của quản lý phiên giữa các ứng dụng với quản lý phiên chung
Test for session puzzling / Kiểm tra sự lừa dối phiên
Test for CSRF and clickjacking / Kiểm tra CSRF và clickjacking

Authorization / Ủy quyền

Test for path traversal / Kiểm tra xâm nhập đường dẫn
Test for bypassing authorization schema / Kiểm tra việc bỏ qua sơ đồ ủy quyền
Test for vertical access control problems (a.k.a. Privilege Escalation) / Kiểm tra các vấn đề kiểm soát truy cập theo chiều dọc (còn gọi là leo thang đặc quyền)
Test for horizontal access control problems (between two users at the same privilege level) / Kiểm tra các vấn đề kiểm soát truy cập theo chiều ngang (giữa hai người dùng cùng mức đặc quyền)
Test for missing authorization / Kiểm tra thiếu ủy quyền

Data Validation / Xác thực dữ liệu

Test for Reflected Cross Site Scripting / Kiểm tra kịch bản chéo phản chiếu
Test for Stored Cross Site Scripting / Kiểm tra kịch bản chéo lưu trữ
Test for DOM based Cross Site Scripting / Kiểm tra kịch bản chéo dựa trên DOM
Test for Cross Site Flashing / Kiểm tra lừa đảo trang web chéo
Test for HTML Injection / Kiểm tra chèn HTML
Test for SQL Injection / Kiểm tra chèn SQL
Test for LDAP Injection / Kiểm tra chèn LDAP
Test for ORM Injection / Kiểm tra chèn ORM
Test for XML Injection / Kiểm tra chèn XML
Test for XXE Injection / Kiểm tra chèn XXE
Test for SSI Injection / Kiểm tra chèn SSI
Test for XPath Injection / Kiểm tra chèn XPath
Test for XQuery Injection / Kiểm tra chèn XQuery
Test for IMAP/SMTP Injection / Kiểm tra chèn IMAP/SMTP
Test for Code Injection / Kiểm tra chèn mã
Test for Expression Language Injection / Kiểm tra chèn ngôn ngữ biểu thức
Test for Command Injection / Kiểm tra chèn lệnh
Test for Overflow (Stack, Heap and Integer) / Kiểm tra tràn (Ngăn xếp, Heap và số nguyên)
Test for Format String / Kiểm tra chuỗi định dạng
Test for incubated vulnerabilities / Kiểm tra lỗ hổng đã được nuôi dưỡng
Test for HTTP Splitting/Smuggling / Kiểm tra chia tách/ăn cắp HTTP
Test for HTTP Verb Tampering / Kiểm tra thay đổi động từ HTTP
Test for Open Redirection / Kiểm tra chuyển hướng mở
Test for Local File Inclusion / Kiểm tra bao gồm tập tin cục bộ
Test for Remote File Inclusion / Kiểm tra bao gồm tập tin từ xa
Compare client-side and server-side validation rules / So sánh các quy tắc xác thực phía máy khách và máy chủ
Test for NoSQL injection / Kiểm tra chèn NoSQL
Test for HTTP parameter pollution / Kiểm tra ô nhiễm tham số HTTP
Test for auto-binding / Kiểm tra tự động liên kết
Test for Mass Assignment / Kiểm tra gán hàng loạt
Test for NULL/Invalid Session Cookie / Kiểm tra cookie phiên NULL/Không hợp lệ

Denial of Service / Từ chối dịch vụ

Test for anti-automation / Kiểm tra chống tự động hóa
Test for account lockout / Kiểm tra khóa tài khoản
Test for HTTP protocol DoS / Kiểm tra từ chối dịch vụ giao thức HTTP
Test for SQL wildcard DoS / Kiểm tra từ chối dịch vụ ký tự đại diện SQL

Business Logic / Logic nghiệp vụ

Test for feature misuse / Kiểm tra lạm dụng tính năng
Test for lack of non-repudiation / Kiểm tra thiếu tính không thể chối bỏ
Test for trust relationships / Kiểm tra mối quan hệ tin cậy
Test for integrity of data / Kiểm tra tính toàn vẹn của dữ liệu
Test segregation of duties / Kiểm tra phân tách nhiệm vụ

Cryptography / Mã hóa

Check if data which should be encrypted is not / Kiểm tra xem dữ liệu cần được mã hóa có không
Check for wrong algorithms usage depending on context / Kiểm tra việc sử dụng sai thuật toán tùy theo ngữ cảnh
Check for weak algorithms usage / Kiểm tra việc sử dụng thuật toán yếu
Check for proper use of salting / Kiểm tra việc sử dụng đúng cách salting
Check for randomness functions / Kiểm tra các hàm ngẫu nhiên

Risky Functionality - File Uploads / Chức năng rủi ro - Tải lên tập tin

Test that acceptable file types are whitelisted / Kiểm tra rằng các loại tập tin chấp nhận được nằm trong danh sách trắng
Test that file size limits, upload frequency and total file counts are defined and are enforced / Kiểm tra rằng giới hạn kích thước tập tin, tần suất tải lên và tổng số lượng tập tin được định nghĩa và thực thi
Test that file contents match the defined file type / Kiểm tra rằng nội dung tập tin khớp với loại tập tin được định nghĩa
Test that all file uploads have Anti-Virus scanning in-place / Kiểm tra rằng tất cả các tập tin tải lên đều có quét virus
Test that unsafe filenames are sanitized / Kiểm tra rằng tên tập tin không an toàn được làm sạch
Test that uploaded files are not directly accessible within the web root / Kiểm tra rằng các tập tin tải lên không thể truy cập trực tiếp trong gốc web
Test that uploaded files are not served on the same hostname/port / Kiểm tra rằng các tập tin tải lên không được phục vụ trên cùng tên miền/port
Test that files and other media are integrated with the authentication and authorization schemas / Kiểm tra rằng các tập tin và phương tiện khác được tích hợp với các sơ đồ xác thực và ủy quyền

Risky Functionality - Card Payment / Chức năng rủi ro - Thanh toán bằng thẻ

Test for known vulnerabilities and configuration issues on Web Server and Web Application / Kiểm tra các lỗ hổng và vấn đề cấu hình đã biết trên Máy chủ Web và Ứng dụng Web
Test for default or guessable password / Kiểm tra mật khẩu mặc định hoặc có thể đoán được
Test for non-production data in live environment, and vice-versa / Kiểm tra dữ liệu không sản xuất trong môi trường thực, và ngược lại
Test for Injection vulnerabilities / Kiểm tra các lỗ hổng chèn
Test for Buffer Overflows / Kiểm tra tràn bộ đệm
Test for Insecure Cryptographic Storage / Kiểm tra lưu trữ mã hóa không an toàn
Test for Insufficient Transport Layer Protection / Kiểm tra bảo vệ lớp truyền tải không đủ
Test for Improper Error Handling / Kiểm tra xử lý lỗi không đúng cách
Test for all vulnerabilities with a CVSS v2 score > 4.0 / Kiểm tra tất cả các lỗ hổng có điểm CVSS v2 > 4.0
Test for Authentication and Authorization issues / Kiểm tra các vấn đề xác thực và ủy quyền
Test for CSRF / Kiểm tra CSRF

HTML 5

Test Web Messaging / Kiểm tra nhắn tin Web
Test for Web Storage SQL injection / Kiểm tra chèn SQL lưu trữ Web
Check CORS implementation / Kiểm tra triển khai CORS
Check Offline Web Application / Kiểm tra Ứng dụng Web Ngoại tuyến

Session Management / Quản lý phiên

Establish how session management is handled in the application (eg, tokens in cookies, token in URL) / Xác lập cách thức quản lý phiên được xử lý trong ứng dụng (ví dụ: mã thông báo trong cookie, mã thông báo trong URL)
Check session tokens for cookie flags (httpOnly and secure) / Kiểm tra mã thông báo phiên cho cờ cookie (httpOnly và an toàn)
Check session cookie scope (path and domain) / Kiểm tra phạm vi cookie phiên (đường dẫn và miền)
Check session cookie duration (expires and max-age) / Kiểm tra thời lượng cookie phiên (hết hạn và tuổi tối đa)
Check session termination after a maximum lifetime / Kiểm tra chấm dứt phiên sau một thời gian tối đa
Check session termination after relative timeout / Kiểm tra chấm dứt phiên sau thời gian chờ tương đối
Check session termination after logout / Kiểm tra chấm dứt phiên sau khi đăng xuất
Test to see if users can have multiple simultaneous sessions / Kiểm thử xem người dùng có thể có nhiều phiên đồng thời hay không
Test session cookies for randomness / Kiểm thử cookie phiên cho tính ngẫu nhiên
Confirm that new session tokens are issued on login, role change and logout / Xác nhận rằng mã thông báo phiên mới được cấp khi đăng nhập, thay đổi vai trò và đăng xuất
Test for consistent session management across applications with shared session management / Kiểm thử quản lý phiên nhất quán trên các ứng dụng có sử dụng quản lý phiên dùng chung
Test for session puzzling / Kiểm thử xáo trộn phiên
Test for CSRF and clickjacking / Kiểm thử CSRF và clickjacking

Authorization / Ủy quyền

Test for path traversal / Kiểm thử đi qua đường dẫn
Test for bypassing authorization schema / Kiểm thử vượt qua lược đồ ủy quyền
Test for vertical Access control problems (a.k.a. Privilege Escalation) / Kiểm thử vấn đề kiểm soát truy cập dọc (còn gọi là Nâng cao đặc quyền)
Test for horizontal Access control problems (between two users at the same privilege level) / Kiểm thử vấn đề kiểm soát truy cập ngang (giữa hai người dùng cùng cấp độ đặc quyền)
Test for missing authorization / Kiểm thử thiếu ủy quyền

Data Validation / Kiểm tra dữ liệu

Test for Reflected Cross Site Scripting / Kiểm thử Reflected XSS
Test for Stored Cross Site Scripting / Kiểm thử Stored XSS
Test for DOM based Cross Site Scripting / Kiểm thử DOM XSS
Test for Cross Site Flashing / Kiểm thử Cross Site Flashing
Test for HTML Injection / Kiểm thử Injection HTML
Test for SQL Injection / Kiểm thử SQL Injection
Test for LDAP Injection / Kiểm thử LDAP Injection
Test for ORM Injection / Kiểm thử ORM Injection
Test for XML Injection / Kiểm thử XML Injection
Test for XXE Injection / Kiểm thử XXE Injection
Test for SSI Injection / Kiểm thử SSI Injection
Test for XPath Injection / Kiểm thử XPath Injection
Test for XQuery Injection / Kiểm thử XQuery Injection
Test for IMAP/SMTP Injection / Kiểm thử IMAP/SMTP Injection
Test for Code Injection / Kiểm thử Injection Code
Test for Expression Language Injection / Kiểm thử Injection Ngôn ngữ Biểu thức
Test for Command Injection / Kiểm thử Command Injection
Test for Overflow (Stack, Heap and Integer) / Kiểm thử Tràn (Ngăn xếp, Đống và Số nguyên)
Test for Format String / Kiểm thử Chuỗi Định dạng
Test for incubated vulnerabilities / Kiểm thử lỗ hổng đang ủ bệnh
Test for HTTP Splitting/Smuggling / Kiểm thử Tách/Buôn lậu HTTP
Test for HTTP Verb Tampering / Kiểm thử Giả mạo Động từ HTTP
Test for Open Redirection / Kiểm thử Đổi hướng Trống
Test for Local File Inclusion / Kiểm thử Đưa File Cục bộ vào
Test for Remote File Inclusion / Kiểm thử Đưa File Từ xa vào
Compare client-side and server-side validation rules / So sánh luật kiểm tra phía client và phía server
Test for NoSQL Injection / Kiểm thử NoSQL Injection
Test for HTTP parameter pollution / Kiểm thử Ô nhiễm tham số HTTP
Test for auto-binding / Kiểm thử tự liên kết
Test for Mass Assignment / Kiểm thử Gán hàng loạt
Test for NULL/Invalid Session Cookie / Kiểm thử Cookie Phiên NULL/Không hợp lệ